Le Comité européen de la protection des données (EDPB), qui rassemble les autorités de contrôle, dont la CNIL en France, a rendu un avis favorable au premier code de conduite établi pour les fournisseurs de services de cloud.  

Rédigé sous l’égide du CISPE (Cloud Infrastructure Services Providers in Europe), coalition des grands noms du secteur, ce dispositif s’inscrit dans le cadre de l’article 40 du RGPD. Ces codes de conduite sont en effet destinés à contribuer à la bonne application du règlement, en précisant plusieurs modalités d’application. 

Et lorsque, comme ici, un projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, il est soumis par une autorité de contrôle (ici la CNIL) à l’avis du Comité, lequel vérifie sa conformité avec le RGPD.  

Avec un tel label de confiance, explique le CISPE, « les clients IaaS sont assurés d'avoir des infrastructures cloud fiables ». Il « clarifie les exigences [du règlement] en matière de protection des données pour les fournisseurs d'infrastructure cloud», insiste Alban Schmutz, le président de CISPE. 

Selon le communiqué, le code garantit notamment aux clients « que les fournisseurs de services d'infrastructure cloud accéderont ou utiliseront uniquement les données clients pour fournir leur service, sans les utiliser à des fins de marketing ou de publicité ».

Le code offre aux clients l’option de s’assurer que les données ne sont traitées qu’au sein de l’espace européen. Comme l’envisage le RGPD (article 41), le contrôle du respect du code de conduite sera assuré par des auditeurs indépendants et externes, accrédités par l’autorité de contrôle. 

« La conformité au RGPD peut être complexe et coûteuse, en particulier pour les PME et les start-ups », relève le communiqué du CISPE. Les fournisseurs de services cloud qui adopteront ce code de conduite profiteront de conseils, tout en étant tenus de respecter une série de règles destinées à garantir la conformité de leurs services. Son approbation formelle relèvera in fine des compétences de la CNIL.